• IT & Datenschutz

Social Engineering: Wenn der Mitarbeiter zur Sicherheitslücke wird

Die Unternehmens-IT ist nur so sicher wie seine Mitarbeiter – ein Fakt, den Hacker gerne für sich nutzen. Beim Social Engineering erschleichen sie sich das Vertrauen der Opfer, etwa mittels CEO-Fraud oder Phishing. Technische Absicherungen reichen alleine nicht aus, um IT Systeme nachhaltig zu schützen.

(Quelle: shutterstock / Peshkova)

Was ist Social Engineering?

Vor Social Engineering ist niemand sicher – auch Profis nicht. Fast alle Hacker nutzen menschliche Schwächen für ihre Angriffe aus. Laut dem Command Control Cybersecurity Index 2018 schätzen 61 Prozent der Befragten den Mitarbeiter als Schwachstelle bei der IT-Sicherheit ein. Beim Social Engineering nutzen Angreifer gezielt menschliche Charaktereigenschaften aus, um an sensible Unternehmensdaten zu kommen. Dafür werden Personen oder Unternehmen im Vorfeld gezielt analysiert. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten werden so zu einer Schwachstelle der IT-Infrastruktur.

 

Welche Methoden nutzen die Angreifer?

Es gibt verschiedene Methoden von Social Engineering, bei denen immer die bereits erwähnten menschlichen Eigenschaften ausgenutzt werden. Zu den bekanntesten Methoden gehören Phishing, Spear-Phishing und CEO-Frauds. Allein durch die Chef-E-Mails entstand in den USA in den vergangenen Jahren ein Schaden von 2,3 Milliarden US-Dollar . Dabei erhielten Mitarbeiter E-Mails im Namen ihrer Vorgesetzten, in denen sie aufgefordert wurden, höhere Beträge zu überweisen. Dabei wurde das Aussehen der Mails und die in einer Firma üblichen Formulierungen bis ins kleinste Detail imitiert.

Bei der Auswahl ihrer unwissenden Mittäter gehen die Betrüger verschieden vor. Beim Phishing werden massenhaft gefälschte E-Mails verschickt. Dabei werden die Anwender mit nachgemachten E-Mails auf gefälschte Seiten von Online-Shops oder Banken gelockt, um dort deren Passwörter und Benutzernamen abzugreifen. Mit den Daten können sich Hacker anschließend in das Unternehmensnetzwerk einschleusen. Der Angreifer klaut also die Identität des Opfers auf der jeweiligen Internetplattform. Bei der schieren Masse an verschickten E-Mails ist die Wahrscheinlichkeit, an die Daten der Anwender zu kommen, sehr hoch.

Beim Spear-Phishing hingegen zielt die Phishing-Attacke auf eine kleine, definierte Benutzergruppe ab, beispielsweise die Mitarbeiter einer bestimmten Abteilung im Unternehmen. Dabei werden bewusst Informationen über die Zielpersonen gesammelt, um möglichst viel über sie zu erfahren. Mit verschiedenen Tools werden das Internet und soziale Netzwerke nach Informationen durchforstet, um Details über das persönliche oder berufliche Umfeld des Opfers zu erfahren.

 

Wie kann man sich schützen?

Sowohl im privaten als auch im beruflichen Bereich ist es am besten, die Anwender auf das Thema Social Engineering aufmerksam zu machen und entsprechend zu schulen. Aber ein einzelnes Training wird die Gefahr nicht beseitigen. Anwender sollten daher eine gesunde Portion Skepsis an den Tag legen und die folgenden Punkte berücksichtigen:

  • Verantwortungsvoller Umgang mit sozialen Netzwerken
  • Keine Veröffentlichung von vertraulichen Informationen über den Arbeitgeber in sozialen Netzwerken (privat und beruflich)
  • Keine Weitergabe von Passwörtern, Zugangsdaten oder Kontoinformationen per Telefon oder E-Mail
  • Vorsicht bei E-Mails von unbekannten Absendern oder mit Dateianhängen
  • Im Zweifel hilft ein Anruf beim Absender

 

Welche Herausforderungen erwarten Unternehmen künftig?

Das Thema Social Engineering wird Unternehmen auch in den kommenden Jahren weiter beschäftigen. Der ständige Einsatz von internetfähigen Geräten gepaart mit dem sorglosen Umgang der Anwender mit ihrem digitalen Selbst bietet Hackern genügend potenzielle Angriffsfläche. Für Unternehmen kann das Risiko deshalb nur mit regelmäßigen Schulungen und dem Einsatz von aktueller Technik beziehungsweise Software gesenkt werden. Gut geschulte und aufmerksame Mitarbeiter zählen zum idealen Schutz für Unternehmen.


Hinweis: Die TÜV Technische Überwachung Hessen GmbH übernimmt keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.

IT-Security-Trainings

Ihre IT-Security-Strategie kann noch so gut sein, erkennen Ihre Mitarbeiter Attacken nicht, nützt sie nichts. Bereiten Sie Ihre Mitarbeiter auf mögliche Angriffe mit unseren Security-Trainings vor.

Einen Kommentar schreiben

* Pflichtfeld

Keine Kommentare